வெறும் 1 மணி நேரம்.. ஒட்டுமொத்த சிபிஎஸ்இ சிஸ்டமும் ஹேக்.. அம்பலப்படுத்திய 19 வயது இளைஞர்

Updated: Wednesday, May 27, 2026, 11:49 [IST]

Subscribe to Oneindia Tamil

டெல்லி: சிபிஎஸ்இ +2 டிஜிட்டல் விடைத்தாள் குளறுபடி விவகாரம் ஏற்கனவே மாணவர்களை உலுக்கி வரும் நிலையில், தற்போது அதன் ஆன்லைன் பாதுகாப்பு கட்டமைப்பில் இருந்த அதிரவைக்கும் ஓட்டைகளை மேற்கு வங்கத்தைச் சேர்ந்த 19 வயது இளம் எத்திகல் ஹேக்கர் நிசர்கா அதிகாரி அம்பலப்படுத்தியுள்ளார். அவரால் ஒட்டுமொத்த சிபிஎஸ்சி சிஸ்டத்தையும் ஒரே மணி நேரத்தில் ஹேக் செய்ய முடிந்ததாகத் தெரிவித்துள்ளார்.

சிபிஎஸ்சி தொடர்பாகக் கடந்த சில நாட்களாகவே தொடர்ந்து சர்ச்சை கிளம்பி வருகிறது. வேறு ஒருவருடைய விடைத்தாளை வைத்து இன்னொருவருக்கு மார்க் போட்ட விவகாரம் பெரிதாக வெடித்திருந்தது. ஆனால் சர்ச்சை அத்தோடு நிற்கவில்லை. சிபிஎஸ்சி இணையதளத்தில் மிக மோசமான பாதிப்பு குறைபாடுகள் இருப்பதாகவும் அதைத் தன்னால் வெறும் ஒரே மணி நேரத்தில் ஹேக் செய்ய முடிந்ததாகவும் மேற்கு வங்கத்தைச் சேர்ந்த 19 வயது இளம் எத்திகல் ஹேக்கர் நிசர்கா அதிகாரி தெரிவித்துள்ளார்.

ஹேக்கிங்

அதாவது சிபிஎஸ்இ கொண்டு வந்துள்ள புதிய 'ஆன்-ஸ்கிரீன் மார்க்கிங்' போர்ட்டல் எப்படி செயல்படுகிறது என்பதைப் பார்க்க அவர் அந்த இணையதளத்திற்குப் போய் இருக்கிறார். அப்போது சும்மா செக் செய்தபோதே அவரால் இணையத்தின் சோர்ஸ் கோர்ட்டை எடுக்க முடிந்துள்ளது. இந்த கொட்டிக்கிடந்த அலட்சியமான தவறுகளைக் கண்டு அதிர்ந்துபோனார். சற்று நேரம் வெப்சைட்டை செக் செய்து பார்க்கும்போதே, அவரால் மிக முக்கியமான 4 சிக்கல்களைக் கண்டுபிடித்துள்ளார்.

பிரச்சனைகள்

பொதுவாக ஓடிபி எண்கள் சர்வர் மூலம் சரிபார்க்கப்படும். ஆனால், சிபிஎஸ்இ போர்ட்டலிலோ பயனரின் பிரவுசரிலேயே ) ஓடிபி சரிபார்க்கப்பட்டுள்ளது. பிரவுசரின் DevToolsஐ திறந்து லாக் இன் செய்யும் எவரும் அந்த ஓடிபியை எளிதாகப் படித்துப் பாதுகாப்பை பை-பாஸ் செய்ய முடிகிறது.
விடைத்தாள் திருத்தும் எந்தவொரு ஆசிரியரின் மொபைலுக்கும் ஓடிபி போகாமலேயே, ஒட்டுமொத்த சிஸ்டத்திற்குள்ளும் நுழையக் கூடிய ஒரு ரகசிய 'மாஸ்டர் பாஸ்வேர்டு' அதன் இணையக் குறியீட்டிற்குள்ளேயே மறைத்து வைக்கப்பட்டிருந்தது. அதையும் நிசர்கா எளிதாகக் கண்டுபிடித்தார்.
எந்தவொரு ஆசிரியரின் யூசர் ஐடியையும் பதிவிட்டு, பழைய பாஸ்வேர்டு இல்லாமலேயே வெறும் 'ஜிப்பரிஷ்' எழுத்துக்களைத் தட்டி புதிய பாஸ்வேர்டை ரீசெட் செய்ய முடிந்துள்ளது.
பிரவுசரின் ஸ்டோரேஜ் மதிப்புகளை மாற்றுவதன் மூலம், இணையத்தை ஹேக் செய்ய முடிந்துள்ளது. இதன் மூலம் மாணவர்களின் மதிப்பெண்களை மாற்றும் ஆபத்து இருந்துள்ளது. "இதற்குப் பெரிய புரோகிராமிங் எல்லாம் தேவையில்லை; வெறும் Control + F மற்றும் லாஜிக் தெரிந்தாலே போதும். எனது வாழ்நாளின் மிக எளிமையான ஹேக் இதுதான்!" என நிசர்கா அதிகாரி சாடியுள்ளார்.

கண்டுகொள்ளவில்லை

இந்த விபரீத ஓட்டைகளைக் கண்டறிந்தவுடன், நிசர்கா அதனைப் பொதுவெளியில் வெளியிடாமல் இந்தியாவின் அதியுயர் சைபர் பாதுகாப்பு அமைப்பான செர்ட்-இன் (CERT-In) மற்றும் சிபிஎஸ்இ அதிகாரிகளுக்குப் பலமுறை மின்னஞ்சல் அனுப்பியுள்ளார். ஆனால், அவர்களிடமிருந்து எவ்வித பதிலும் வரவில்லை.

அவர் மேலும் கூறுகையில், "பல லட்ச ரூபாயை கட்டணமாக வாங்கிக் கொண்டு பிரச்சினைகளைப் பார்த்துச் சொல்லும் நிறுவனங்களுக்கு மத்தியில் நான் இலவசமாகப் பிரச்சினைகளைச் சுட்டிக்காட்டினேன். ஆனால், அவர்கள் மதிக்கவில்லை. இது அவர்களின் அகந்தை மற்றும் அலட்சியத்தைக் காட்டுகிறது" என்று கோபமடைந்த நிசர்கா, ஆதாரங்களுடன் தனது பிளாக்கில் வீடியோக்களை வெளியிட, அது இணையத்தில் காட்டுத்தீயாகப் பரவி, சிபிஎஸ்இ தளங்கள் நள்ளிரவில் முடக்கப்பட்டன.

விளக்கம்

விவகாரம் விஸ்வரூபம் எடுத்ததை அடுத்து, சிபிஎஸ்இ தலைமையகம் இது தொடர்பாக ஒரு நீண்ட விளக்கப் பதிவை வெளியிட்டது. அதில் அவர்கள், "அவர் குறிப்பிடப்பட்டுள்ள URL உண்மையான விடைத்தாள் திருத்தும் தளம் அல்ல. அது வெறும் பரிசோதனை மற்றும் மதிப்பாய்விற்காக உருவாக்கப்பட்ட ஒரு போலி சைட் மட்டுமே. அதில் உண்மையான மாணவர்களின் மதிப்பெண்களோ, விடைத்தாள்களோ கிடையாது. நிஜமான போர்ட்டலின் URL முற்றிலும் வேறானது. அது பாதுகாப்பாகவே உள்ளது!" என்றனர்.

ஆனால், இதற்குப் பதிலடி கொடுத்துள்ள நிசர்கா அதிகாரி, "சிபிஎஸ்இ தங்களின் ட்வீட்டில் குறிப்பிட்டுள்ள அந்த URL ஒரு உண்மையான டொமைனே அல்ல.. அது யூசர்களை எனது பிளாக்கிற்குத்தான் ரீடைரக்ட் செய்கிறது" என மீண்டும் குளறுபடியைப் போட்டு உடைத்தார்.

தர்மேந்திர பிரதான்

மாணவர்களின் விடைத்தாள்கள் மாறிய புகார்களுக்கு மத்தியில், தற்போது இந்த ஹேக்கிங் விவகாரமும் சேர்ந்து கொண்டதால், மத்திய கல்வி அமைச்சர் தர்மேந்திர பிரதான் இதனால் கோபமடைந்துள்ளார். கடந்த மே 24ம் தேதியே இது தொடர்பாகக் கடுமையான உத்தரவுகளைப் பிறப்பித்துள்ளார். மாணவர்களின் நலனே முக்கியம் எனக் குறிப்பிட்ட அவர், சிபிஎஸ்இ-யின் போஸ்ட்-ரிசல்ட் போர்ட்டல்களை ஐஐடி நிபுணர்கள் மற்றும் பொதுத்துறை வங்கிகளின் தொழில்நுட்ப வல்லுநர்களைக் கொண்டு அசுர வேகத்தில் புனரமைக்க உத்தரவிட்டுள்ளார்.